Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

Zurück

Webinar: Threat Modeling Basics

Dieses Online-Webinar findet am 18. Mai vormittags statt.

Egal ob ein historisch gewachsener Monolith oder die neueste Anwendung mit MACH-Architektur: Alle Anwendungen sind individuellen, für sie spezifischen Bedrohungen ausgesetzt. Das bedeutet, dass es keine Standardquelle oder Referenzliste geben kann, die dem Team relevante Bedrohungsszenarien beschreibt. Stattdessen muss sich das Team auf zwei unterschiedlichen Ebenen mit der eigenen Sicherheitslage auseinandersetzen: Auf der konzeptuellen Ebene erkannte Bedrohungen betreffen die Architektur und das Design der Anwendung, während Bedrohungen auf der Implementierungsebene im Code entstehen.

Threat Modeling beschreibt einen regelmäßigen Vorgang, um Bedrohungen auf konzeptueller Ebene zu identifizieren und Hinweise für solche auf Implementierungsebene zu sammeln.

In diesem Halbtages-Webinar geht es um verschiedene Methoden des Threat Modelings. Die Security-Experten Dr. Bastian Braun und Alexander Elchlepp evaluieren Klassiker wie Microsofts STRIDE-Ansatz neben weniger bekannten Methoden wie PASTA und Attack Trees.

Sie veranschaulichen die wesentlichen Merkmale anhand einer typischen Beispielanwendung, die sich an den in ihrem Berateralltag bei mgm security partners regelmäßig vorgefundenen Architekturen orientiert. Dabei geben sie Erkenntnisse bezüglich moderner Trends wie Zero-Trust- oder Serverless-Architekturen weiter und vergleichen sie mit herkömmlichen on-premises Trust-Boundary-Szenarien.

Neben den Methoden stellen die beiden auch ihre Erfahrungen mit einschlägigen Threat Modeling Tools wie beispielsweise OWASP Threat Dragon und Microsoft Threat Modeling Tool vor und geben Ratschläge zur Integration von Threat Modeling in Entwicklungsprozesse.

Vorkenntnisse

  • Grundlagen Software-Architektur
  • Grundlagen Security

Lernziele

Nach dem Webinar sollten die Teilnehmer

  • ein Basis-Threat- Model einer ihnen vertrauten Anwendung erstellen und
  • den Wert und die Grenzen von Threat Models einschätzen können.

Speaker

 

Bastian Braun
Bastian Braun ist Head of Security Consulting bei mgm security partners. Er berät Unternehmen bei der Einführung bzw. Weiterentwicklung ihrer Secure Software Development Lifecycle (SSDLC), gibt Seminare für Entwickler, Projektleiter, Entscheidungsträger und Penetrationstester und führt Produkt- und Sicherheitsanalysen durch. Bastian ist OWASP Germany Chapter Leader und regelmäßiger Sprecher auf einschlägigen Konferenzen.

Alexander Elchlepp
Alexander Elchlepp arbeitet als Senior IT-Security Berater bei mgm security partners. Er begleitet Entwickler-Teams und unterstützt bei der Etablierung eines Secure Software Development Lifecycles, führt regelmäßige Codeanalysen und Penetrationstests für Web- und Mobile-Anwendungen durch.

 

Jetzt Tickets sichern

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden